漏洞信息详情

OpenX 多个跨站请求伪造漏洞

• CNNVD编号：CNNVD-201404-507
• 危害等级： 中危
  
• CVE编号： CVE-2013-5954
• 漏洞类型： 跨站请求伪造
• 发布时间： 2014-04-28
• 威胁类型： 远程
• 更新时间： 2014-04-28
• 厂        商： openx
• 漏洞来源：

漏洞简介

OpenX（前称phpAdsNew）是美国OpenX公司的一套开源的广告管理与跟踪系统。该系统提供一个横幅广告管理界面，支持电子邮件通知客户广告统计信息的功能。

OpenX 2.8.11及之前的版本中存在多个跨站请求伪造漏洞。远程攻击者可利用该漏洞通过admin/agency-user-unlink.php页面删除用户；通过admin/advertiser-delete.php页面删除广告商；通过admin/banner-delete.php页面删除广告横幅；通过admin/campaign-delete.php页面删除活动；通过admin/channel-delete.php页面删除频道；通过admin/affiliate-delete.php页面友情链接；通过admin/zone-delete.php页面删除区域。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： https://github.com/revive-adserver/revive-adserver/commit/79cb2db05c9849e225885e8a622978da014a98a7

参考网址

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/125735

来源:XF

名称:openx-cve20135954-csrf(91889)

链接:http://xforce.iss.net/xforce/xfdb/91889

来源:BID

名称:66251

链接:http://www.securityfocus.com/bid/66251

来源:FULLDISC

名称:20140315 [CVE-2013-5954] Multiple Cross Site Request Forgery Vulnerabilities in OpenX 2.8.11

链接:http://seclists.org/fulldisclosure/2014/Mar/270

受影响实体

• Openx Openx:2.8.8  
• Openx Openx:2.8.9  

补丁

暂无